Seguridad

Proteger sus datos es nuestra prioridad y garantizamos la seguridad en todos los niveles.

Obtenga más información sobre el viaje continuo de CORSANO con la nube y nuestro uso innovador de las ofertas de seguridad para reducir los riesgos y mejorar la privacidad de la información. Aquí hay una descripción general de cómo hemos construido la seguridad en Corsano:

Seguridad de los datos

Los datos de los clientes de CORSANO, y la seguridad de esos datos, son de suma importancia para nosotros, por lo que ofrecemos a nuestros clientes un control total sobre sus datos. La seguridad y privacidad de los datos es una prioridad y nuestro objetivo es crear una plataforma donde los datos puedan compartirse de forma segura entre usuarios y profesionales de la salud.

CORSANO protege los datos personales a través de las mejores prácticas en desarrollo de software y arquitectura en la nube, cumpliendo con varios estándares de seguridad y privacidad (GDPR, HIPAA, ISO 27001).

Infraestructura de nube segura

La mejor infraestructura en la nube es crucial para la seguridad de los datos. Es por eso que seleccionamos a los mejores socios y utilizamos las mejores tecnologías y prácticas para garantizar la seguridad, la privacidad y el más alto nivel de servicio para nuestros usuarios y clientes.

CORSANO almacena todos los datos de producción en centros de datos físicamente seguros. Utilizamos soluciones de Amazon Web Services (AWS), pionera en el soporte de datos de salud, para dominar todos los aspectos de la seguridad de los datos. De hecho, como asociado comercial de AWS, podemos garantizar el cumplimiento de la más alta seguridad y privacidad de datos.

https://aws.amazon.com/ru/health/healthcare-compliance/

Centros de datos

Diseño seguro

La seguridad está garantizada por el diseño, a partir de una cuidadosa selección del sitio, basada en una evaluación geográfica inicial, evitando riesgos ambientales.

La redundancia del centro de datos y la gestión automática del tráfico permiten mantener el más alto nivel de servicio.

Acceso físico

El acceso solo se otorga a los empleados aprobados, según el principio de privilegio mínimo. Cada acceso está limitado en tiempo y áreas al mínimo necesario y reevaluado periódicamente.

Vigilancia y detección

Nuestros centros de datos tienen prácticas de seguridad comunes, que incluyen monitoreo de video de circuito cerrado y guardias las 24 horas del día, los 7 días de la semana, y requieren el uso de controles de acceso biométricos a nuestras jaulas cerradas.

Sistemas de apoyo operativo

La energía, el clima y la temperatura se controlan y monitorean las 24 horas del día, los 7 días de la semana. Los centros de datos están equipados con equipos de detección y supresión de incendios para garantizar el más alto nivel de seguridad.

Lea más información sobre los controles de los centros de datos de AWS:

https://aws.amazon.com/compliance/data-center/controls/

Seguridad en redes

Protección

La red de CORSANO está protegida mediante el uso de los servicios de seguridad de AWS (Lista de control de acceso, cortafuegos, antimalware, protección de datos en tránsito a través de TLS, VPN…).

Arquitectura

Nuestra arquitectura en la nube consta de múltiples capas de seguridad, clústeres de datos separados, replicados en múltiples zonas de disponibilidad. Cada capa está controlada por balanceadores de carga y protegida a través de firewalls.

Análisis de Infraestructura

La seguridad de la infraestructura es analizada por las herramientas de AWS para garantizar que cumpla con las prácticas más rigurosas en términos de excelencia operativa, seguridad, confiabilidad y rendimiento.

Copias de seguridad

CORSANO ha implementado mecanismos de copia de seguridad automatizados para datos, software y herramientas. Las copias de seguridad se ejecutan, prueban y transfieren regularmente a un almacenamiento seguro.

Registro de eventos

CORSANO monitorea continuamente todos los eventos las 24 horas del día, los 7 días de la semana y toma las acciones oportunas y apropiadas de acuerdo con el nivel de gravedad. El Sistema de Gestión de Calidad ISO 13485 define claramente el procedimiento para la gestión de incidentes.

Cifrado

CORSANO utiliza un alto nivel de cifrado en todas las capas y en todos los niveles de comunicación, utilizando tecnologías de autenticación sólidas (OAuth, JWT) y los últimos estándares de protocolos cifrados (HTTPS, TLS).

Los datos se eliminan cuando su uso no es estrictamente necesario para el uso previsto del producto. Los datos almacenados deben usar AES-256 o más.

Seguridad de servicios y aplicaciones

Para servicios y aplicaciones, entregamos, mantenemos y administramos la protección y seguridad de datos a lo largo de todas las etapas de su ciclo de vida.

Desarrollo asegurado

Mejores prácticas de desarrollo de código

Nuestros desarrolladores utilizan las mejores prácticas de programación (los 10 principales riesgos de seguridad de OWASP) y mantienen actualizada una lista de verificación de seguridad de API.

Organización ágil, revisión de código y pruebas

Todas las actividades de desarrollo están organizadas en método AGILE con sprints y una clara priorización de tareas. El proceso de desarrollo incluye revisiones de código, pruebas unitarias, pruebas de integración funcional y pruebas de seguridad.

Software Quality Assurance

El ciclo de vida del software, incluido el desarrollo, las pruebas, la configuración y las versiones, cumple totalmente con el estándar IEC 62304 para software médico.

Gestión de vulnerabilidades

Pruebas de seguridad automatizadas

Se realizan pruebas de seguridad automatizadas en cada bloque de la infraestructura de la nube para detectar posibles vulnerabilidades.

Pruebas de penetración de terceros

Las pruebas de penetración duras son realizadas regularmente por empresas expertas, hiperespecializadas en pruebas de penetración y piratería ética.

Seguridad de autenticación

Política de contraseñas

CORSANO requiere el uso de una contraseña segura y cumple con las recomendaciones internacionales en términos de robustez.

Autenticación de múltiples factores

MFA se utiliza para todos los accesos a datos y recursos críticos.

API

Las API de CORSANO utilizan los métodos OAuth 2.0 y JWT para autenticar aplicaciones. Las claves complejas, la caducidad del token y otras mejores prácticas se utilizan para protegerse contra ataques de fuerza bruta y otros ataques de seguridad.

Controles de acceso basados ​​en roles

Los controles de acceso basados ​​en roles se utilizan con un enfoque de privilegios mínimos para garantizar la privacidad y limitar los riesgos.

Protección de datos en tránsito

Todas las comunicaciones a través de la red pública están encriptadas con los mejores estándares de la industria HTTPS/TLS (TLS 1.2 o superior).

Certificaciones y estándares

Para garantizar la privacidad de los datos y la seguridad de nuestros productos y servicios, cumplimos con los más altos estándares de protección de datos de salud.

Certificaciones

Nuestros centros de datos están certificados para la seguridad de la información.

AWS cuenta con la certificación de conformidad con ISO/IEC 27001:2013, 27017:2015, 27018:2019, 27701:2019, 9001:2015 y CSA STAR CCM v3.0.1.

Lea más sobre la certificación de AWS:

https://aws.amazon.com/compliance/iso-certified/

Estándares

Reglamento General de Protección de Datos — Unión Europea 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) de 1996. Norma que rige el alojamiento de datos personales de salud.

Mejora continua

Como empresa con certificación ISO 13485, CORSANO ha establecido un Sistema de gestión de calidad (QMS) para el desarrollo y la producción de dispositivos médicos. La empresa tiene como objetivo la mejora continua para ofrecer los mejores productos a sus clientes.

Auditorías internas

Plan de auditoría interna

Anualmente se define un plan de auditoría. Periódicamente se realizan auditorías con expertos externos e internos. El cumplimiento del SGC y del Producto se verifica en sesiones de revisión trimestrales.

Revisión de gestión

Las revisiones gerenciales aseguran que la Gerencia revise sistemáticamente el cumplimiento de los procesos, los productos y la empresa anualmente. Esto permite evaluar las oportunidades de mejora y decidir las acciones estratégicas para mejorar la calidad de los productos a largo plazo.

Auditorías externas

Auditorías del Sistema de Gestión de la Calidad

CORSANO es auditado anualmente para el cumplimiento de la norma ISO 13485 para el Sistema de Gestión de Calidad para Dispositivos Médicos, por parte del Organismo Notificado Kiwa-Dare.

Auditoria de seguridad

Las empresas expertas realizan periódicamente auditorías de seguridad y pruebas de penetración para garantizar que la empresa se mantenga actualizada y utilice los más altos estándares de privacidad y seguridad de datos.

Auditorías de evaluación de la conformidad

Las auditorías de evaluación de la conformidad son realizadas por expertos externos acreditados e independientes. Esto asegura el cumplimiento de los procedimientos de la empresa y la tecnología con las regulaciones (GDPR, HIPAA).

Garantías de políticas, contratos y proyectos

Para garantizar la privacidad de los datos en nuestros productos y servicios, utilizamos los más altos estándares de protección de datos de salud.

Gestión de Subcontratistas

CORSANO trabaja con varios subcontratistas que fueron cuidadosamente seleccionados y evaluados periódicamente de acuerdo con el procedimiento de gestión de proveedores de nuestro SGC certificado.

CORSANO tiene DPA (Acuerdos de Protección de Datos) especiales con los proveedores críticos cuando se trata de procesamiento de datos, para garantizar que la política de Privacidad y Seguridad de la empresa se mantenga en todas las etapas de la creación y provisión de productos y servicios.

Acuerdo de confidencialidad del empleado

Todos los empleados deben firmar acuerdos de no divulgación y confidencialidad. Este acuerdo de confidencialidad sigue siendo válido después de la finalización del contrato de trabajo.

Conciencia de seguridad

Políticas de seguridad

CORSANO y sus socios han desarrollado un conjunto completo de políticas y procedimientos para cubrir el deber de confidencialidad de los empleados, las mejores prácticas de seguridad, la privacidad interna y del cliente, la gestión de incidentes. CORSANO nombró un DPO (Data Privacy Officer) que es responsable de la privacidad y seguridad de los datos dentro de la empresa y de informar a las Autoridades Reguladoras.

conciencia de seguridad de la información

La seguridad y privacidad de los datos se considera una prioridad y se alienta a todos los miembros de CORSANO HEALTH a desarrollar sus conocimientos en capacitaciones y eventos, para que la seguridad de los datos sea parte de la cultura de la empresa.

Cumplimiento del Reglamento general de protección de datos (GDPR)

A CORSANO le apasiona garantizar que nuestros clientes puedan cumplir con las normas de privacidad de datos, incluido el RGPD de la Unión Europea, que entrará en vigencia en mayo de 2018. Brindamos a nuestros clientes controles de nivel empresarial para administrar, controlar el acceso y garantizar la seguridad de los datos personales. datos alojados en Corsano Health Cloud. Según lo exige el RGPD, CORSANO permite a los clientes corregir, exportar o eliminar permanentemente la información personal. También eliminamos los datos personales de los sistemas de procesamiento interno para minimizar los datos que retenemos según el artículo 5 del RGPD. Visite nuestro RGPD para obtener más información sobre cómo CORSANO establece el estándar para la protección de datos personales de los clientes.

Para informar un incidente, una inquietud o preguntas generales de seguridad, envíe un correo electrónico privacidad@corsano.com

 

 

 

 

Traducir